本章では Firewall を 2 台使用して、二重化構成を構築するための手順について説明します。 


セットアップの概要 (—96 ページ） . 

セットアップ(—100ページ） . 

運用(―128ページ） . 

二重化構成の再セツトアップト136ベージ) 


二重化機能の動作概要について説明してます。 

二重化構成を構築する場合の設定手順について説 
明してます。 

二重化構成での運用方法について説明していま 
す。 

再セットアップの手順が単体構成とは異なりま 
す。再セツトアップの際の差分や手順について説 
明しています。 


注意 • 制限事項(―137ページ) 


二重化構成で運用する際の注意事項や制限事項に 
ついて説明しています。 











セットアップの概要 

二重化構成について説明します。 

この Rrewall では、以下の2種類の二重化構成を作成することができます。 

• 片運用切替え型(ホットスタンパイ） 

一台で運用し、障害時にスタンパイしている方に運用を移行します。 

• 両運用切替え型（□ー ドシェア r 

二台で並列に運用し、障害時には運用側ですベての業務を引き継ぐことが可能です。 

*□— ドシェアとは、イントラネット側の業務クライアントマシンのデフォルトゲートウェ 
イを各々の Firewall に設定することにより、 R 「 ewall 2 台での運用を可能とするものです。 
障害時には、業務の弓 I き継ぎ1台の Firewall で運用が可能です。 


動作概要 


Firewall を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時間を最小限に抑えることができます。 

また、運用系で FireWall -1 のプロセスの異常を検出した場合や設定された IP アドレスとの通 
信が途絶した場合にも、待機系に業務を引き継ぐことが可能です。 


以下の仕組みで Firewall を二重化します。 

ホットスタンバイ 

• 通常運用時 

—運用系側の nrewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双方からアクセスします。 

-運用系/待機系の Rrewall は互いにサーバの状態を監視をします。 



イントラネツト側 LAN 



96 



























• 運用系サーバ障害時 


一待機系の Firewall が運用系のダウンを検出します。 

-運用系の Firewall が仮想 IP アドレスを無効にします。 

-待機系の Firewall が仮想 IP アドレスを有効にします。 

ーインターネット側とイントラネット側の双方からのアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 
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□ードシェア 

• 通常運用時 

-両系の Firewall で各々の仮想 IP アドレスを使用してインターネット側とイントラネッ 
卜側の双方からアクセスします。 

—両系の Firewall は互いにサーパの状態を監視します。 


イントラネツト側 LAN 



(f~7 ' \ 




• サーバ 障害時 


一どちらか一方の Rrewall が業務の異常、または障害を検出します。 

-障害側の Firewall は、自分の仮想 IP アドレスとの対応を、正常側の Firewall と対応さ 
せるように変更します。 


イントラネツト側 LAN 
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二重化構成では nrewall 2 台のほかに管理用サーパが必要となります。 Express 5800/ 
FW 300または FW 500をもう1台使用し、管理サーパとして動作させることも可能です。 


必要なリソース 


二重化を実現するためには、 Firewall を単体で運用するときに比べて新たなリソースが必要 
です。 

セットアップの前にリソースの計画や設定をしてください。 

• 仮想 IP アドレス(インターネット側)：1つ （□— ドシェアは2つ） 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワーウアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス(イントラネット側)：1つ（ロードシェアは2つ） 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い0 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス (DMZ 側)：1つ（□ー ドシェアは2つ） 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネットワークアドレス内で未使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

參 Firewall 間通信用アドレス：1つ 

Firewall 間の監視に使用するアドレスです。 

基本的には、 Firewall 監視専用アドレスとして、 Firewall 本体のインタフェースに割り当 
ててください。 
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セットアップ 


ホットスタンバイ、□ー ドシェアの設定について説玥します。 


ットスタンバイの設定 


以下のネットワーク構成を例にとって設定を行います。 

口ードシェアを行う場合は、本章の「ロードシェアの設定」を参照してください。 


• 

FirewaNU 運用系) 



ホスト名： 

fwsl 


インターネット側実 IP アドレス： 

202.247 .5.1 /255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.1/255.255.255.0 


Firewall 間通信用 IP アドレス： 

192.168 .2.1/255.255.255 .〇 

• 

FirewaN 2( 待機系) 



ホスト名： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255 .〇 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255 .〇 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255 .〇 


Firewall 間通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インターネット側： 

202.247 .5.3 


DMZfJI : 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プロキシ ARP アドレス 



インターネット側： 

202.24 7.5.4/255.255.255.0 

• 

管理用 サーバ 



ホスト名： 

rirewall_mgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

• 

GUI クライアント用 PC 



IP アドレス： 

192.168 .1.5/255.255.255.0 
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インターネット側 LAN 


イントラネット側 LAN 
192.16 a 1.0/ 255.255 .255.0 



DMZ LAN 

172.16 .1.0/255.255.255.0 


公開用 WWW/FTP などへ 


重 

化 

構 

成 

に 


〇 

い 

て 
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二重化する 2 台のサーバを管理するための管理サーバをセットアップします。以下の条件を 
満たすコンピュータに管理モジュールをインストールしてください。 Express5800/ 
FW 300 または FW 500 をもう 1 台用意し、管理サーバとして動作させることも可能です。 

オペレーティングシステム： Windows NT 4.0 Se 「 ve 「 (SP6a ) 、 

Windows 2000 Server(SP1 、 SP2 、 SP3 、 SP4 )、 
Windows 2000 Advanced Se 「 ve 「 (SP1 、 SP2 、 SP3 、 
SP4) 、 Windows 2003 Server 、 

Solaris8 / UltraSPARC (32-bit 、 64-bit )、 

Solaris9 / UltraSPARC (64-bit), 

RedHat Linux 7.0 (kernel version 2.2.16 、 2.2.17 、 2.2.19) 
RedHat Linux 7.2 (kernel version 2.4.9-31) 

RedHat Linux 7.3 (kernel version 2.4.18-5 、 2.4.18-27 、 
2.4.20 ) 

Windows or Linux 

ディスク容量： 300 MB 以上 

メモリ： 128MB 以上 

Solaris 

ディスク容量： 300 MB 以上 

メモリ： 128MB 以上 

* 上記は、 2004 年 3 月現在の情報です。今後のパッチリリースにより変更になる可能性があ 
ります。 
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Firewall -1 管理サーノ（の設定 

Express 5800 / FW 300または FW 500を管理サーバとして動作させる場合の設定例です。以 
下の手順に従って設定を行ってください。 

1. 初期導入ディスクによる設定を行ろ。 

3章の「1.初期導入設定用ディスクによる設定」を参照し、初期設定と管理クライアントの接続を 
行ってください。 

p-OBE 

「初期導入設定用ディスクの作成」-「各入力項目の設定」において、「サーバタイプ」は「管理サー 
パ’」にチェックをしてください。 

2. 基本設定ツールによる設定を行ラ。 

P-OIE 

3章の「2.システムのセットアップ」-「基本設定ツールによる設定」を参照し、管理サーバとし 
て使用するための設定を行ってください。サーバタイプの設定では、 
「2. ManagementServer 」 管理サーバになつていることを確認してください 0 


# fwsetup 

Firewall Server conflauration too 丄 Ver.2.4-2 

server type 

1. Firewall 

2. Management Server 

select number[2].. 

〈略〉 

# shutdown -r now 


確認 


3. 設定終了後、再起動する。 





Fi 「 eWall - l 管理モジュールのコンフィグレーション 

管理モジュールを管理サーバへインス I '■—ルします。以下の手順でコンフィグレーションを 
行ってください。図中の〈略〉の設定する項目については、3章の「2.システムのセットアッ 
プ」- 「 FirewWall -1 のコンフィグレーション」を参照してください。 

# cpconrig 

Welcome to Check Point Conflauration Proaram 
Please read the following license agreement. 

Hit ' ENTER' to continue •… ... ① 


Do you accept all the terms of this license agreement (y/n) ? y . ② 

Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch offices. 

Check Point Express - for medium-sized businesses. 

(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 

Enter your selection (1-2/a-abort) [1] : 1 .^ 

Select installation type: 

(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. 

(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 

Enter your selection (1-2/a-abort)[1] : 2 .. ④ 

① Fi 「 eWall -1 管理モジュールのコンフィグレーションをする。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インス!-ールする製品を選択する。 

ライセンスに合わせて製品を選択し、インストールします。 

④ インス!ルするモジュールを選択する。 

二重化構成の場合は「2」を選択し、インストールします。 
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Select installation type : 


VPN-1 Pro Gateway. 

Enterprise SmartCenter. 

Enterprise SmartCenter and VPN-1 Pro Gateway. 
Enterprise Log Server. 

VPN-1 Pro Gateway and Enterprise Log Server. 


Enter your selection (1-5/a-abort)[1] : 2 . 

Please specify the SmartCenter type you are about to install : 

(1) Enterprise/Pro Primary SmartCenter. 

(2) Enterprise/Pro Secondary SmartCenter. 

Enter your selection (1-2/a-abort)[1] : 1 . 

This program will quide you through several steps where you 
will define your SVN Foundation configuration. 

At any later time, you can reconfiqure these parameters by 
running cpconfig 

(略） 

************* installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

cpstart : Power-Up self tests passed successfully 

(略） 

FireWall-1 : This is a Management Station. No security policy will be loaded 
FireWall-1 started 

# shutdown -r now . 


① インス!ルするモジュールを選択する。 

「2」を選択し、管理モジュールをインス!'■ールします。 

② インス!ルする管理モジュールのタイプを選択する。 
「1」を選択し、 Primary として使用します。 

③ 管理モジュールを起動させる。 

④ 再起動する。 


1 2 3 4 5 
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Please read the following license agreement. 
Hit 'ENTER' to con^i_ 


Do you accept all the terms of this license agreement (y/n) ? y 


Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch offices. 
Check Point Express - for medium-sized businesses. 


(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 


Enter your selection (1-2/a-abort)[1] : 


Select installation type : 


(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. 

(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 


Enter your selection (1-2/a-abort)[1] : 2 


① FireWall -1 のコンフィグレーションをする。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インストールする製品を選択する。 

ライセンスに合わせて製品を選択し、インストールします。 

④ インストールするモジュールを選択する。 

二重化構成の場合は「2」を選択し、インストールします。 


cpconfia 


elcome to Check Point Configuration Program 


Firewall -1 のコンフイグレーシヨン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なります。囡中の〈略〉の設 
定する項目については、3章の「2.システムのセットアップ」- 「 FireWalM のコンフイグレー 
ション」を参照してください。 
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VPN-1 Pr 
Enterpri 
Enterpri 
Enterpri 
VPN-1 Pr 


Select insta 


and VPN-1 Pro Gateway. 


nterprise Log Server. 


llation type : 


o Gateway, 
se SmartCenter. 
se SmartCenter 
se Log Server. 
o Gateway and E 


IP forwarding disabled 

Hardening OS Security ： IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security ： Default Filter will be applied during boot. 
This program will quide you through several steps where you 
will define your VPN-1 & FireWall-1 configuration. 

At any later time, you can reconfiqure these parameters by 
runninq cpconfig 

(略） 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ?. 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization)? (y/n) [n] ? y . 


Enter your selection (1-5/a-abort)[1] : 1 


① インストールするモジュールを選択する。 

「1」を選択し、インストールします。 

② Dynamically Assigned IP Address Module をインス I —ルするが問い合わせがあるの 
で、 < Ente 「> キーを選択する。 

③ Check Point clustering product をインストールするが問い合わせがあるので、く Y > 
キーを押す。 


1 2 3 4 5 
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(略） 

Configuring Secure Internal Communication... 


The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key ： 1 

Again Activation Key ： J 

The Secure Internal Communication was successfully initialized 

initial 一 module: 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 



① FireWall -1 管理サーパと Firewall 間での通信に使用するパスワードを設定してください。 

② 終了後、再起動します。 
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セキュリティポリシーの設定 


Firewall オブジェクトの作成 

1. 2台の Firewall のオブジェクトを作成する。 


— View 〇 bjectTree の [Checkpoint] を選択し、右クリックします。 

[New Check Point][Gateway] を選択します0 

—オブジェクト: Gateway 
名前 ： fwsl、fws2 

内容 ： IP Address には FireWall-1 管理サーパと同じネットワークの実 IP アドレス 

を設定してください。 

- FireWall-1 管理サーパから Firewall を管理(セキュリティポリシーの設定や□グ表示など)す 
るためには、 FireWall-1 管理サーバと Firewall との間で通信を行ラための設定が必要です。 
General ぺージで [Communication...] をクリックし、 FireWall-1 のコンフィグレーシヨン時 
に設定したパスワードを入力してください。 


al Properties 

^ey 


General Pi 
+; lopology 
NAT 
Authentication 
iS Logs and Masters 
Capacity Optimization 
a Advanced 


Check Point Gateway - General Properties 


IP Address： 1202247 .5.1 
Comment | 


Get address | 「 Dynamic Address 


Check Point Products 

Version： [nG wrth Application Intelligence j-J Get Version | 
Type： 


[Check Point tnterprise/Pro 




□VPN 


xj 


]SecureClient Software Distribution Server 
Additional Products： 

厂 Web Server 

Secure Internal Communication 


The Activation Key that you specify must also be used in the module configuration. 


Activation Key： [♦»***** 

Confirm Activation Key： |******* 
Irust state： |Uninitialized 
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— Topology ぺージで全インタフェースを設定します。 [GetTopology …]をクリックして自動 
取得します。 



2. 以下のクラスタオブジェクトを作成する。 

— ViewObjectTree の [Checkpoint] を選択し、右クリックします。 

[New Check Point]-►[Gateway Cluster] を選択します 0 

—オブジェクト： Gateway Cluster 
名刖 : fws_cluster 

内容 ： IP Address にはインターネット側の仮想 IP アドレスを指定してください。 

口ードシェアを行う場合は、二重化機能の設定で groupO に登録したインターネット側の仮想 IP' 
アドレスを指定してください。 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の Firewall オブジェクト (fwsl と fws2) を追加す 
る 0 




2S1 


General Properties Cluster Members 

Cluster Members 

3rd Party Configuration Gateway Cluster members List 

Synchronization 
由.. Topology 
NAT 

Authentication 
130 Logs and Masters 
Capacity Optimization 
® Advanced 


202.247 .5.1 
202247.52 


圆 fwsl 
IH|fws2 


[Add... 


OK| Cancel_Help. 


4. 3rd Party Configuration ぺージで、設定を確認する 0 

「Hide Cluster Members’ outgoing traffic behind the Cluster’s IP Address」 にチェックが付 
いていないことを確認します。 

□—ドシェアを行う場合は、 「Load Sharing」 にチェックを付け、〇 PSEC cluster solution’s の 
チェックボックスにチェックが付いていないことを確認してください。 
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5. Synchronization ぺージでセッション同期を行うネットワークを入力する。 
このネットワークにおいて互いのコネクション情報を共有します。 


3rd Party Corn igurat ion 

兩职 yy 柳爾 !1 7 1 

a Topology 
NAT 

Authentication 
由. Logs and Masters 
Capacity Optimization 
田. Advanced 


K/ Ltee State Synchronization 
Synchronization networks： 


_Qet _| — _j 


Add Synchronization Network 


凶 


Name ： 


|sync r 


Network Address ： |192.168.2.0 
Net Mask ： 1255.255 .255.0 


匚 




OK 




Cancel 


Help 


6. Topology ぺ _ ジにてインタ _ フエ_スの設定する。 

IP アドレスには、仮想 IP アドレスを設定します。 

□—ドシェアを行う場合は、二重化機能の設定で groupO、grnupl で登録した仮想 IP アドレスを 
全て指定してください。 




General Properties 
Cluster Members 
3rd Party Conf igurat bn 
Synchron Eat bn 
a Topology 
NAT 

Authentication 
由- Logs and Masters 
Capacity Optimization 
IS Advanced 


Get- j 


Name ( IP Address [ Network Mask j IP Addresses behind interface J 


ethO 1921 №1.3 

ethl 202.247 .5.3 

eth2 17216.1 .3 


255255.25 5.0 This Network 

255.255.2550 External 

255255.25 5.0 This Network 




pdrt.._I gp move I 


(Supported from NQ with Application Intelligence <R56) and above) 
VPN Domain 


J Cancel_Help 
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二重化用ルールの追加 


二重化機能を使用するためには、サーバ間の状態監視用通信を通すためのルールを設定する 
必要があります。 

1. メニユーの [Manage] — [Services …]— [New] を選択し、以下のサービスを定義する。（名前は一 
例です。他の名前でも構いません。） 


オブジェクト : TCP 
名前 ： clp_tcp 

ポート :28001 



オブジェクト : UDP 
名前 : clp_udp 

ポート ：28002 


W-OBE 

上記ポート番号は基本設定ツールにおける既定値のポート番号です。二重化機能の設定でポー 
卜番号を変更する場合はその設定に合わせてサービスの定義を行ってください。 



2. 上記の二重化通信用のルールを追加する。 


項目 

Source: 

Destination: 

Service: 

Action: 


設定値 
fws 1 、 fws2 
fws2、fwsl 
clp_tcp x clp_udp 
accept 





































• □ー ドシェアを行う場合は以下の点に注意してください。 

-セッション同期ネットワークは必ず専用ネットワークとしてください。 

ーネットワークの定義として、以下のような定義が必要となります。ただし、このネット 
ワーク設定は Firewall - 1におけるオブジェクト定義のみであり、実際のネットワーク構 
成へ反映するものではありません。 

(下記は、192.168.1」〜192.168.1.127を fwsl を使用、192.168.1」28〜 
192.168 .1.254 は、 fws 2 を使用して通信を行う場合の例です。） 

1. VewObjectsTree の [ Networks ] 右クリックし 、 [New Network ] を選択し、 
以下の2つのネットワークオブジェクトを作成します。 

ネットワークオブジェクト1 

オブジェクト名： network_l 

IP アドレス ：192. 168.1.0 

ネットマスク: 255.255 .255. 128 

HideNAT : groupO に登録した仮想 IP アドレス 

ネットワークオブジェクト2 

オブジェクト名： network _2 
IP アドレス ： 192.1 68.1.128 
ネットマスク: 255.255 .255. 128 
HideNAT : group 1に登録した仮想 IP アドレス 


2. 1 92. 1 68. 1_1〜1 92.168.1.1 27の内部ホストは、 groupO に登録した仮想 IP 
アドレスに HideNAT されます。 

192.168 .1.1 28〜 192.168.1 .254の内部ホストは、 group 1に登録した仮想 
IP アドレスに HideNAT されます。 


I 重化構成について 


115 




二重化用設定事項 


二重化機能を使用するためには、設定事項として、 [ Policy ] - [Global Properties ] - [NAT - 
Network address translation ] ページで 「Automatic ARP configuration 」 のチェックを外す 
必要があります。 



チェックを外す 


セキュリティポリシーのインス I -ール 


セキュリティポリシーの作成が完了したら、ポリシーをインストールしてください。2台の 
Firewall にインストールされます 0 

セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情報は FireWall -1 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーパと Firewall 本体の両方のパックアップデータが必要となります。管 
理サーパとして Express 5800 / FW 300または FW 500を使用している場合には、3章の「4.セ 
キュリティポリシーのパッウアップ」コマンドによるパックアップを参照してください。 
FireWall - 1モジュールのパックアップ方法と同じです。 

その他のサーバを使用している場合には、該当するファイルのパックアップが必要となりま 
す。（以下のファイルは、 Windows マシンを使用した場合の一例です。インストールディレ 
クトリによって異なりますので注意してください。） 


1. 以下のディレクトリ配下のすべてのファイル 

C:¥WINNT¥FW1 ¥R55¥conf 
C:¥WINNT¥FW1 ¥R55¥database 
C:¥WINNT¥FW1 ¥R55¥lib 

C:¥Program Files¥CheckPoint¥CPShared¥R55¥conf¥sic_cert.p 12 

2. HKEY—LOCAL_MACHINE¥SOFTWARE¥CheckPoint¥SIC 

レジストリエディタを開き、上記のレジストリツリーをファイルに書き出し、パックアップをし 
てください。 

I M -〇 セキュリティーポリシーの設定の説明において使用している画像イメージは、 
Fi 「 eWall - l の FeaturePack によって異なる場合があります。 






















二重化機能の設定 


二重化機能の設定方法を説明します。設定は基本設定ツールから行います。両 nrewall で全 
く同じ設定を行ってください。 

二重化機能の設定項目およびそれぞれの制限事項は以下のとおりです。 

參八一トビート送信間隔 

ハートビートの送信間隔(秒)を指定します。 

參八一トビートタイムアウト時間 

ハー•トビートが途絶して相手 Firewall がダウンしたと認識するまでの時間(秒)を指定しま 
す。ハートビート送信間隔より大きい値を指定してください。 

參 Rrewall 起動待ち時間 

起動時に相手 Firewall の起動時間を待ち合わせる時間(秒)を指定します。ハートビートタ 
イム時間より大きい値を指定してください。 

• 内部通信用 TCP ポート番号 

2台の Firewall 間で通信を行うための TCP のポート番号を指定します。 

參内部通信用 UDP ポート番号 

2台の Firewall 間で通信を行うための UDP のポート番号を指定します。 

• FirewaNl の サーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

參 RrewalP の サーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

• RrewaNl のインタコネクトアドレス 

相手 Rrewall を監視するためのアドレスとネットマスクを入力します。 

• RrewaNS のインタコネクトアドレス 

相手 nrewall を監視するためのアドレスとネットマスクを入力します。 

參仮想 IP アドレス 

二重化機能を使用する場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があります。 

サーパ間監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対象として設定された IP アドレスとの通信が途絶した場合、待機系 Firewall にフェイ 
ルオーパが行われます。本項目の設定は省略することができます。 

參プロキシ ARP アドレス 

StaticNAT 機能を使用する場合、外部公開アドレスとして使用するアドレスを指定して 
ください。 


|重化構成について 


117 



* 運用系 Firewall 

運用系の Firewall を指定します。 

參自動フェイルバック 

自動フェイルパックを行うかどうが設定します。自動フェイルパッウを auto にした場 
合、運用系ダウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 

ホットスタンバイの設定 

基本設定ツールでの設定手順を示します。以下の内容は、本章の「セットアップ」で示した 
ネットワーク構成を例にとって説明します。 

① 

② 

③ 
④ 

① 管理クライアントから Firewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse duster system 」 の項目までは、 < ENTER > キーを押して進み、設定内容を確認す 
る。 

③ 二重化機能を使用する。 < Y > キーを押す。 

④ □-ドシェアの問い （use load share ?) に [ y ] で答えるとロー ドシェアの設定が開始され 
る。 

ここでは、ホットスタンパイの設定を行うので、 < N > キーを押します。 


■■① 
■■② 
. ■■③ 
■■④ 

■■⑤ 

.■⑧ 

■■⑦ 

① ハートビート送信間隔(秒)を入力する。 

② ハートビートタイムアウト時間(秒)を入力する。 

③ 起動時に相手 Firewall の起動を待ち合わせる時間(秒)を入力する。 


- START CLUSTERPRO configuration - 

CLUSTERPR 〇 Configuration Tool Ver 1.0 -4 



Input HB interval(0 - 999) [0] : ... 
Input HB timeout (1 - 999)[1] : ■■■■ 

Input WAIT Timeout(1 - 999)[5] : 
Input API TCP port number[28001] : 
Input HB UDP port number[28002] : 

Input serverl host name : fwsl. 

Input server2 host name : fws2 . 


# fwsetup . 

Firewall Server configuration tool Ver.2.4-2 

< i §> . 

use cluster system? (y/n)[n] : y . 

use load share? (y/n)[n] : n . 
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① 運用系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 

インタコネクトアドレスは16個まで設定可能です。 

設定後に一覧を表示します。 

一覧から設定内容の追加、および修正、削除、一覧の再表示をキー入力から操作できま 
す。 

< A > キー+ < Ente 「> キ ー ： インタコネクトアドレスを追加しま 

す。 

< M > キ ー +「修正する一覧の番号」 +< Ente 「> キー：指定した番号の設定を修正します。 
< D > キー+「削除する一覧の番号」 +< Ente 「> キー：指定した番号の設定を削除します。 
< L > キー十く Ente 「> キー： 一覧を再表示します。 

< Ente 「> キー： 次の項目へスキップします。 

② 待機系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 



- server conriguration - 

Input fwsl interconnect address . 

address(1) :192.168 .2.1 
netmask(l) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168.2.1/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 

Input fws2 interconnect address . 

address(1) :192.168 .2.2 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168.2.2/255.255.255.0 

("a"=add I "m num"=modify I "d num"=delete I "l"=list I Enter=next) : 


④ 内部通信用の TCP ポート番号を入力する。 

⑤ 内部通信用の UDP ポート番号を入力する。 

⑥ Firewall 1のサーバ名（ホスト名）を設定する 0 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

⑦ Fi 「 ewall 2 のサーバ名（ホスト名）を設定する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 
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No. name 
1 group0 

- group fip configuration - 

Input FIP address . 

address(1) : 202.247.5.3 
netmask(l) : 255.255.255.0 
address(2) : 172.16.1.3 
netmask(2) : 255.255.255.0 
address(3) : 192.168.1.3 
netmask(3) : 255.255.255.0 
address(4) : 

No. address 

1 202.247.5.3/255.255.255.0 

2 172.168.1.3/255.255.255.0 

3 192.168 .1.3/255.255.255.0 

( n a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


①仮想 ip アドレスを入力する。 

仮想 IP アドレスは8個まで設定可能です。 

設定後に一覧を表示しますので、確認、または、変更して < Enter > キーで 進みます。 

pi 二重化機能を使用する場合、サーバへのアクセスは、原則仮想 ip アドレスを使用する必要が 

「 E 37 FI あります。 

サーノヾ'間監視専用インタフ I — ス以外の全インタフエースに仮想 IP アドレスを設定してくだ 
さい。 
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① 


- qrouDO ipw conflauration - 

Input IPW address . 

address(1) : 202.247.5.xxx |202.247.5.xxx 
address(2) : 

No. address 

1 202.247.5.xxx |202.247.5.xxx 

(”a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


①監視する IP アドレスを入力する。 

「 I 」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定可能です。ただし、「 I 」で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、確認、または、変更してく Enter 〉 キーで進みます。 

■ I ： 監視対象として設定された ip アドレスとの通信が途絶した場合、待機系サーバにフェイル 

オーバが行われます。 

<設定例> 

• 202.247 .5.254 と1 92. 1 68. 1.254のどちらかと通信が途絶した場合にフェイルオー 
パを行いたい場合。 

No . address 

1 202.247 .5.254 

2 192.168 .1.254 

• 202.247 .5.254 と1 92. 1 68. 1.254の双方と通信が途絶した場合にフェイルオーパを 
行いたい場合。 

No . address 

1 202.247 .5.254 I 192.16 8.1.254 

• 202.247 .5.5 と202.247 .5.254 の双方と通信が途絶した場合が、1 92. 1 68. 1.254と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No . address 

1 202.247 .5.5 I 202.247 .5.254 

2 192.168 .1.254 
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- group 0 proxy arp configuration - 

Input proxy address . 

address(1) : 202.247 .5.4 
address(2) : 

No. address 
1 202.247 .5.4 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


①設定するプ□キシアドレスを指定する。 

プロキシ ARP アドレスを入力します。プロキシ ARP アドレスは256個まで設定可能で 
す。 

設定後に一覧を表示しますので、確認、または、変更して<日は6「>キ_で進みます。 

■I： プロキシ ARP アドレスでは、運用系サーバにて StaticNAT を行う場合の公開用 IP アドレスと 

rgjp なります。 StaticNAT で公開する IP アドレスをすべて登録してください。 



Input primary server hostname(fwsl, fws2)[fwsij : 
Input fallback policy(1:auto, 2 : manual)[manual] : 


- END CLUSTERPRO configuration 

〈略〉 


① 

② 


① 運用系サーバを入力する。 

② 自動フェイルパックを行うかどうか入力する。 

I H-O 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 

上記の設定後は、本体を再起動させる必要があります。以下のコマンドを入力してくださ 
い。 


# shutdown -r now 
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他のネットワーク機器の設定 


イントラネットと DMZ に存在するネットワーク機器については、デフォルトルートの設定 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側：172.16 .1.3) を指定するようにしてください。 


【参考】 NAT のためのルーティングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネット内のサーバのアドレスを静的に 
NAT (アドレス変換）し、インターネット上に公開する場合、ルーティングテープルと 
ProxyARP テーブルの設定を別途行う必要があります。 

例として、以下のネットワーク構成の場合、公開用 WWW/FTP サーバを該当するホストと 
すると、以下のようなルーティングテーブルと ProxyARP テーブルの設定を Firewall へ行う必 
要があります。 

r -~-； 202.247 .5. 127 
し—,-」 （ NAT 後の IP アドレス） 


仮想 IP アドレス 
202.247 .5. 126 



destination 202.247 .5. 127 
netmask 255.255 .255. 255 
gateway 172.16 .1.2 

変換後のアドレスを destination、 実際のアドレスを gateway に指定してください。 
fwsetup の static routing の項目で設定することができます。 

ProxyARP の設定については、前述の「二重化機能の設定」を参照してください。 


I 重化構成について 
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以下のネットワーク構成を例にして説明します。 

まずは、ホットスタンバイの設定を参照し、 「Firewall のセットアップ」と「セキュリティポリ 
シーの設定」を行ってください。 


• Firewall! 

ホスト名： 

インターネット側実 IP アドレス 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス 
Firewall 間通信用 IP アドレス： 

參 Firewall2 

ホスト名： 

インターネット側実 IP アドレス 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス 
Firewall 間通信用 IP アドレス： 

• 仮想 IP アドレス (g 「 oupO_) 

インターネット側： 202.247 .5.3 

DMZ 側： 172.16 .1.3 

イントラネット側： 192.16 8.1.3 

• 仮想 IP アドレス (groupl 側） 

インターネット側： 202.247 .5.4 

DMZ 側： 172.16 .1.4 

イントラネット側： 192.168 .1.4 

• プロキシ ARP アドレス (groupO 側） 

インターネット側： 202.247 .5.5 

• プロキシ ARP アドレス (groupl 側） 

インターネット側： 202.24 7.5.6 

• 管理用サーバ 

ホスト名： 

IP アドレス 

參 GUI クライアント用 PC 

IP アドレス： 192.168 .1.5/255.255.255 .〇 


firewall_mgr 

192.168 .1.4/255.255.255 .〇 


fws2 

202.247 .5.2/255.255.255 .〇 
172.16 .1.2/255.255.255.0 
192.168 .1.2/255.255.255 .〇 
192.168 .2.2/255.255.255 .〇 


fwsl 

202.247 .5. 1 /255.255.255.0 
172.16 .1.1/255.255.255.0 
192.168 .1.1/255.255.255.0 
192.168 .2.1/255.255.255.0 
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インターネット側 LAN 



ルー タ 


202.247 .5.0/255.255.255.0 


C 202.247 .5.g> 


202.247 .5.1 192.168 .1.1 


イントラネツト側 LAN 
192.168 .1.0/255.255.255.0 



■ C 202.247 .5.J> 
202.247 .5.2 



び2.247 .5 わ 

192.168 .2.1 

サーバ監視 
専用 LAN 
192.16 8.2.0/ 

255.255 .255.0 

_ 192.168 .2.2 

02.247 .5.3^ 172.168 .1.2 


172.16 .1.2 


172.16社内 LAN へ 


' DMZ LAN 

:172.16 .1.0/255.255.255.0 


公開用 WWW/FTP などへ 
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次に、「二重化の設定」を行います。 

ここでは、口ードシェアの機能を有効にして groupO と groupl に設定を行います。 


# fwsetup . 

Firewall Server configuration too 丄 Ver.2.4-2 

〈略〉 

use cluster system? (y/n)[n] : y . 

use load share? (y/n) [n] : y .. 

〈略〉 

- group connguration - 

No. name 

1 group0 

2 group1 

- group0 fip configuration - 

< i §> . 

- qroupO property configuration - 

Input primary server hostname(fwsl,fws2) [fwsl] : 

Input fallback policy(1 : auto, 2 : manual)[manual] : 

〈略〉 

- group1 fip configuration - 

<略> . 

- qroupl property configuration - 

Input primary server hostname(fwsl, fws2)[fwsl] : fws2 
Input fallback policy(1:auto, 2 : manual)[manual] : 

〈略〉 

Please reboot the system. 

# shutdown -r now . 


① 管理クライアントから Firewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system?」 の設定までは、 <Enter>*_ を押して進みます。 

ここでは、二重化機能を使用するので <Y> キーを押します。 

③ 口ードシェアを行うので、 <Y> キーを押す。 

④ groupO に関する設定を行う。 

設定項目については、「ホットスタンパイの設定」を参照してください。 
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⑤ groupl に関する設定を行う。 

設定項目については、「ホットスタンパイの設定」を参照してください。 

⑥ groupl におけるプライマリを入力する。 

ここでは、 groupO のプライマリ設定とは逆の Firewall を設定してください。 

⑦ Firewall 本体を再起動する。 

H-O • プロキシ ARP アドレスの設定において groupO と groupl では、同一 IP アドレスの使用 
はできません。異なる IP アドレスを設定してください。 

• 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 


他のネットワーク機器の設定 


イントラネットに存在するネットワーク機器のデフォルトルートには、以下の仮想 IP アドレ 
スを設定してください。 

• 前述のオブジェクト network」 に定義したネットワークに属している機器には groupO に 
登録したイントラネット側の仮想 IP アドレス。 

• 前述のオブジェクト network_2 に定義したネットワークに属している機器には groupl に 
登録したイントラネット側の仮想 IP アドレス。 
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運用 

二重化構成の運用について説明します。 


障害発生時の対応 


運用系サーパにおいて障害を検出した場合には、フェイルオーパが発生し、待機系サーバへ 
業務が切り替わります。その際に基本設定ツールで指定した管理者の E-mail アドレス宛に 
メールが 送信されます。 

參ダウンしたときのメッセージ 


Subject: WARNING : [aroupOJ is downed 
!!WARNING!! 

[groupO] is not active on Firewall(fwsl.nec.co.jp[202.247•5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE : [groupO] changes 
to the active firewall" from fwsl.nec.co.jp[202.247.5.1], 
both groups are downed. 

Urgently check both groups!! 


• フェイルオーパしたときのメッセージ 


Subject: NOTICE : [groupOJ chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp[202.247.5.2]). 

Urgently check another failed rirewall. 


胃—〇 ダウンした要因がネットワークの通信障害などの場合、ダウンしたときのメッセージがサー 
パ内に滞留し、障害復旧後に送信されることがあります。メッセージを受信したら必ずその 
発信時刻を確認するようにしてください。 

メールを受信したら Express 5800 /FW 500の状態を確認し、システムログ (syslog) からフエ 
イルオーパが発生した要因を確認し、必要な対処を行ってください。メッセージ内容、対処 
方法等は「付録 C 二重化機能の□グメッセージ」を参照してください。 

• 監視対象 IP アドレスとの通信途絶、あるいは、 FireWall- 1プロセス消滅が発生し、待機系 
Firewall に業務を引き継いだ場合、以後、そのサーパ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは、 [clpstat -s] の 
[STARTING] で確認できます。 
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• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対象 IP アドレスとの通信途絶、あるいは FireWalM プ□セス消滅が発生し 
ても、待機系 Firewall から運用系 Firewall へは業務が引き継がれず、引き続き待機系 
Firewall で業務が遂行されます。但し、上記の条件においても相互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 

[監視対象 IP アドレスとの通信途絶が原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- clpgrp コマンドによって業務を起動 
- Firewall 再起動 

[ FireWall - 1プ□セス消滅が発生した場合] 

- clpgrp コマンドによって業務を再開 
- Firewall 再起動 
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状態表示、運用系、待機系の切り替えなどはコマンドを使用して行います。 


情報表示 

現在の状態、設定内容を確認するには以下のコマンドを実行します。 


cipstat - s L-h host name] 
-n 

-i L-h host name] 


状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....各種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . 各種設定を表示します。 

- hhost_name . 操作対象サーパ名。指定なしの場合、コマンド実行サーパが対象とな 

ります。 




口ードシェア時には、 GROUPO の情報に引き続き GROUP 1の情報が表示されます。 
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clpstat - s の各項目について 

① サーバ 名 (1 台目） 

② サーバ 名 (2 台目） 

③ サーバの 状態 

ONLINE :ハートビートが受信されている 
OFFLINE :ハートビートが受信されていない 

④ グループの状態 


ONLINE 

:正常 

OFFLINE 

:停止 

ERROR 

:異常 

UNKNOWN 

:不明 


⑤ フェイルオー バポリシ 

⑥ グループ起動の許可/禁止 

ALLOW :許可 

DENY :禁止 

UNKNOWN :不明 

⑦ IPW リソースの起動種別と状態 

< A > :全サーバ起動 

< U > :単サーバ起動 

ONLINE :正常 

OFFLINE :停止 

ERROR :異常 

UNKNOWN :不明 


⑧ IPW リソース監視アドレス 

⑨ FIP リソースの状態 

※ IPW リソースと同様 

⑩ FIP リソース設定アドレス/ネットマスク 
⑪ PARP リソースの状態 

※ IPW リソースと同様 
⑫ PARP リソース設定アドレス 
⑬ EXEC リソースの状態 
※ IPW リソースと同様 
⑭ EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

⑮ EXEC リソース停止時実行パス 
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□ー ドシェア時には、 GROUPO の情報に引き続き GR0UP1 の情報が表示されます。 


clpstat - i の各項目について 

① CLUSTERPRO AE の起動方法 

YES :自動起動 

N 0 :手動起動 

② 起動待ち合わせ時間(秒） 

③ ハートビート受信用 UDP ポート番号 

④ ハートビート送信間隔(秒） 

⑤ ハートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 

⑦ API タイムアウト(秒） 

⑧ ログポート番号 

⑨ ping コマンドタイムアウト(秒） 

⑩ リカバリ方法 
RESTART 
STOP 
HALT 
REBOOT 

UNKNOWN :不明 
⑪リトライ回数 
⑫ サーバ 名 （1 台目） 

⑬インタコネクトアドレス 
⑭ サーバ 名 (2 台目） 

⑮インタコネクトアドレス 
⑯グループ名 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 

OS シャツトタ'ウン 
〇 S リブート 


⑰グループ起動方法 


⑱ 


AUTO 

自動 


MANUAL 

手動 


UNKNOWN 

不明 


フェイルパッウ方法 


AUTO 

自動 


MANUAL 

手動 


UNKNOWN 

不明 


環境変数 
ACT—NORMAL 


通常起動 

ACT.FAILOVER 


フェイルオーパ 

DEACT.NORMAL 

通常停止 

DEACT ILLEGAL 

異常停止 


⑳グループリカバリ方法 
IGNORE :無視 

RETRY :再起動 

STOP :停止 

FAILOVER :フェイルオーバ 

UNKNOWN :不明 

㉑ リトライ回数 

㉒ 運用系サーバ名待機系サーバ名 
㉓ IPW リソース名 
㉔ 起動タイプ 

ASR :全起動リソース 

USR :単起動リソース 

㉕ IPW リソース監視対象アドレス 


EXEC0 : groupO-execO 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/ opt/necfws/bin/ckcstat 
/ opt/necfws/bin/ckcstat 

NO . 

21623 . 

STOP . 

0/0 . 


EXECl : groupO-execl 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/ opt/necfws/bin/ckfwalive 

/ opt/necfws/bin/ckfwalive -k 

YES 

21625 

FAILOVER 

2/2 


雲©⑩⑲ ㉚ ©© 
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㉟ PARP アドレス 
㉙ MAC アドレス 
⑩ PARP インタ フエー ス 
㉛ ping 回数 
@ arp 回数 

⑬ PARP リソースリカパリ方法 
※ IPW リソースと同様 
⑭リトライ回数 
⑮ EXEC リソース名 
⑩起動タイプ 

※ IPW リソースと同様 
© EXEC リソース起動時実行パス 
⑩ EXEC リソース停止時実行パス 
⑯ EXEC リソース監視設定 
※ IPW リソースと同様 
㉚ EXEC リソースプロセス ID 
㉛ EXEC リソースリカパリ方法 
※ IPW リソースと同様 
㉜ リトライ回数 


# clpstat -n 

=========== INTERCONNECT INFORMATION 

serverO : rwsl. 

serverl : fws2 . 

[on serverO : ONLINE]. 


address serverO serverl 



丄.丄 bb. 丄.丄 UJ^. UK. 


丄 . 丄.丄 UJ^. UK. 


address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


clpstat - n の各項目について 

① サーバ 名 (1 台目） 

② サーバ 名 (2 台目） 

③ サーバ (1 台目)ステータス 

④ プライマリインタコネクトアドレス/ステータス 

⑤ セカンダリインタコネクトアドレス/ステータス 

⑥ サーバ (2 台目)ステータス 


㉖ IPW リソースリカバリ方法 


IGNORE 

RETRY 

STOP 

FAILOVER 


UNKNOWN 
㉗ リトライ回数 
㉙ FIP リソース名 
㉙ 起動タイプ 

※ IPW リソースと同様 
㉚ FIP アドレス 
㉛ FIP インターフェース 
㉜ ping 回数 
㉝ arp 回数 

㉞ FIP リソースリカバリ方法 
※ IPW リソースと同様 
㉟ リトライ回数 
㉚ PARP リソース名 
㉗ 起動タイプ 

※ IPW リソースと同様 


無視 

再起動 

停止 

フェイルオーバ 
不明 


①這③ ④道 ⑧ 
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運用系/待機系の切り替え • 業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行ろ場合、以下のコマンドを実行します。 

clpgrp -s [-h host name] [-g group_name] 

- t [-h host name] [-g group_name] 

-m [-h host name] [-g group_name] 

業務の起動/停止関連操作を行います。 


〈オプション〉 

-S . 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーパを切り替えます。業務が起動しているサーバ側で実 

行する必要があります。 

-h host_name . 操作対象サーバ名です。指定なしの場合、コマンド実行サーパが対象 

となります。- m オプション指定時には、業務移動元サーパの意味も持 
ちます。 

-9 group _ name ....... 操作対象グループを指名します。指定なしの場合、全グループが対象 

となります。 


|重化構成について 


135 







二重化構成の再セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順に従って再インストールします。 

參管理 サーバ 

Express 5800 / FW 300または FW 500 を管理サーバにしている場合の Fi 「 eWall -1 管理サー 
バの再インス トールについて説明します。 

1. 3章の「再インストール」-「再セットアップ」の手順フまでを行う。 

2. 4章の 「FireWall- 1管理サーパのセットアップ」 -「FireWalM 管理モジュールのコンフィグレー 
シ ヨン」を行う。 

3. 3章の「再インストール」-「再セットアップ」の手順9を行い、管理サーパへパックアップをリス 
トアする。 

• Firewall 本体 

Firewall 本体の再インス I -ール方法について説明します。 

1. 3章の「再インストール」-「再セットアップ」の手順7までを行う。 

2. 4章の 「FireWall 本体のセットアップ」- 「FireWall-1 のコンフィグレーシヨン」を行う。 

• セキュリティポリシーをインストール 

セキュリティポリシーの再インストールについて説明します。 

1 .SmartDashboard から管理サーバへ接続し、 Firewall-1 管理サーパと FireWall 本体との通信を行 
うための設定を行う。 

FireWalM 管理サーパと FireWall 本体との通信を行うための設定については、4章の「セキュリ 
ティポリシーの設定」- 「FireWall オブジェクトの作成」を参照してください。 

2. FireWall 本体へセキュリティポリシーをインス I ルする。 

3. 運用系 Firewall、 待機系 Firewall の順で再起動する。 

□-ドシェア機能を使用している場合は、再起動の順番は関係ありません。 
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注意 • 制限事項 


參 Firewall 本体が2台以上必要です。また、ライセンスは同じユーザー数のものをそれぞれ 
の実 IP アドレスで申請する必要があります。 

參自動フェイルパック時、接続されていたセッションが切断される場合があります。 

參フェイルオーパが発生した場合、 IKE セッションは失われる可能性があります。 

• 自動フェイルパックが設定されている場合、運用系サーパ再起動後、自動的に運用系 
サーパで業務が開始されます。自動フェイルパックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サ_パの方が待機状態になります（運用 
系、待機系の逆転)。運用系サーパに業務を切り替える場合はコマンド ( clpg 「 p - m ) により 
サ_パの切り替えを実行する必要があります。 

• 待機系で監視対象 IP アドレスとの通信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系サーパに業務は引き継がれません。ただし、この場合でもコマンド 
( clpg 「 p - m ) により業務実行サーパを切り替えることは可能です。 
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〜 Memo - 
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